CN103714269A - 病毒的识别方法及设备 - Google Patents
病毒的识别方法及设备 Download PDFInfo
- Publication number
- CN103714269A CN103714269A CN201310634308.7A CN201310634308A CN103714269A CN 103714269 A CN103714269 A CN 103714269A CN 201310634308 A CN201310634308 A CN 201310634308A CN 103714269 A CN103714269 A CN 103714269A
- Authority
- CN
- China
- Prior art keywords
- file
- virus
- filename
- attribute
- executable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供一种病毒的识别方法及设备。本发明实施例通过对指定目录下的文件进行扫描,以获得可执行文件的文件名,进而确定与所述可执行文件的文件名相同或相近似的文件名,使得能够根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,无需依赖文件夹病毒的病毒特征信息,操作简单,且不容易出错,从而提高了病毒识别的效率和可靠性。
Description
【技术领域】
本发明涉及计算机技术,尤其涉及一种病毒的识别方法及设备。
【背景技术】
文件夹病毒,是一种利用文件夹图标迷惑用户,双击打开进行复制的病毒。文件夹病毒会遍历移动存储设备的根目录下的文件夹,复制自身到移动存储设备的根目录下,更名为检测到的文件夹的文件名,修改该文件夹的属性为不可见,使用户在使用移动存储设备打开其文件夹时运行病毒,以达到复制的目的。现有技术中,利用病毒数据库,对扫描的文件进行特征匹配,若所述匹配成功,识别所述文件为文件夹病毒。原始的病毒数据库需要由操作人员逐一获取每个文件夹病毒,对每个文件夹病毒文件进行人工识别和特征提取,以建立病毒数据库。
然而,现有建立病毒数据库的操作复杂,且容易出错,从而导致了病毒识别的效率和可靠性的降低。
【发明内容】
本发明的多个方面提供一种病毒的识别方法及设备,用以提高病毒识别的效率和可靠性。
本发明的一方面,提供一种病毒的识别方法,包括:
对指定目录下的文件进行扫描,以获得可执行文件的文件名;
确定与所述可执行文件的文件名相同或相近似的文件名;
根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对指定目录下的文件进行扫描,以获得可执行文件的文件名,包括:
对根目录下的文件进行扫描,以获得可执行文件的文件名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,包括:
若所述文件夹的属性为不可见,识别所述可执行文件为文件夹病毒。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,包括:
若所述文件夹的属性为不可见,将累加器的值加1;
若所述累加器的值大于或等于预先设置的识别阈值,识别所述可执行文件为文件夹病毒。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒之后,还包括:
根据所述识别的所述文件夹病毒,获得所述文件夹病毒的病毒特征信息;
将所述病毒特征信息加入到病毒数据库中,以供利用所述病毒数据库,对扫描的文件进行特征匹配,若所述匹配成功,识别所述文件为文件夹病毒。
本发明的一方面,提供一种病毒的识别设备,包括:
扫描单元,用于对指定目录下的文件进行扫描,以获得可执行文件的文件名;
确定单元,用于确定与所述可执行文件的文件名相同或相近似的文件名;
识别单元,用于根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述扫描单元,具体用于
对根目录下的文件进行扫描,以获得可执行文件的文件名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述识别单元,具体用于
若所述文件夹的属性为不可见,识别所述可执行文件为文件夹病毒。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述识别单元,具体用于
若所述文件夹的属性为不可见,将累加器的值加1;以及
若所述累加器的值大于或等于预先设置的识别阈值,识别所述可执行文件为文件夹病毒。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述设备还包括更新单元,用于
根据所述识别的所述文件夹病毒,获得所述文件夹病毒的病毒特征信息;以及
将所述病毒特征信息加入到病毒数据库中,以供利用所述病毒数据库,对扫描的文件进行特征匹配,若所述匹配成功,识别所述文件为文件夹病毒。
由上述技术方案可知,本发明实施例通过对指定目录下的文件进行扫描,以获得可执行文件的文件名,进而确定与所述可执行文件的文件名相同或相近似的文件名,使得能够根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,无需依赖文件夹病毒的病毒特征信息,操作简单,且不容易出错,从而提高了病毒识别的效率和可靠性。
另外,采用本发明提供的技术方案,能够对被感染的文件夹病毒进行主动识别,能够有效提高病毒识别的效率和可靠性,能够有效提高系统的安全性能。
另外,采用本发明提供的技术方案,能够自动建立病毒数据库,无需操作人员逐一获取每个文件夹病毒,对每个文件夹病毒文件进行人工识别和特征提取,实时性好,且正确率高,能够有效提高病毒识别的效率和可靠性,从而进一步提高了系统的安全性能。
【附图说明】
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的病毒的识别方法的流程示意图;
图2为本发明另一实施例提供的病毒的识别设备的结构示意图;
图3为本发明另一实施例提供的病毒的识别设备的结构示意图。
【具体实施方式】
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1为本发明一实施例提供的病毒的识别方法的流程示意图,如图1所示。
101、对指定目录下的文件进行扫描,以获得可执行文件的文件名。
可执行文件(executable file),是可移植可执行(PE)文件格式的文件,它可以加载到内存中,并由操作系统加载程序执行。可执行文件的扩展名可以包括但不限于.exe、.sys和.scr,等。
102、确定与所述可执行文件的文件名相同或相近似的文件名。
103、根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒。
其中,病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或Rootkits/Bootkits。
需要说明的是,101~103的执行主体可以是杀毒引擎,可以位于本地的客户端中,以进行离线操作来清除病毒,或者还可以位于网络侧的服务器中,以进行在线操作来清除病毒,本实施例对此不进行限定。
可以理解的是,所述客户端可以是安装在终端上的应用程序,或者还可以是浏览器的一个网页,只要能够实现病毒的清除,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
这样,通过对指定目录下的文件进行扫描,以获得可执行文件的文件名,进而确定与所述可执行文件的文件名相同或相近似的文件名,使得能够根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,无需依赖文件夹病毒的病毒特征信息,操作简单,且不容易出错,从而提高了病毒识别的效率和可靠性。
一般来说,文件的完整命名包括文件名和扩展名。可执行文件的扩展名可以包括但不限于.exe、.sys和.scr,等。文件夹则没有扩展名。在101中,所获得的可执行文件的文件名就是将扩展名截断之后,获得的。
一般来说,文件夹病毒会遍历移动存储设备的根目录下的文件夹,复制自身到移动存储设备的根目录下,更名为检测到的文件夹的文件名,修改该文件夹的属性为不可见,使用户在使用移动存储设备打开其文件夹时运行病毒,以达到复制的目的。但是,有些文件夹病毒,复制自身到移动存储设备的根目录下之后,不是直接更名为检测到的文件夹的文件名,而是在检测到的文件夹的文件名中增加一些不可见或较难发现的符号。因此,需要确定与所述可执行文件的文件名相同或相近似的文件名,才能准确识别出文件夹病毒可能复制的文件夹的文件名。
可选地,在本实施例的一个可能的实现方式中,在102中,具体可以通过计算文件名的相近似度,以确定与所述可执行文件的文件名相同或相近似的文件名。例如,相似度大于或等于预先设置的阈值,则可以确定两个文件名相同或相近似。具体地,可以利用现有技术中的文本相近似度算法,计算文件名的相近似度,详细描述可以参见现有技术中的相关描述,此处不再赘述。
可选地,在本实施例的一个可能的实现方式中,在101中,具体可以对根目录下的文件进行扫描,以获得可执行文件的文件名。具体地,可以对移动存储设备的根目录下的文件进行扫描,获得可执行文件的完整命名,进而删除可执行文件的扩展名,以获得可执行文件的文件名。
可选地,在本实施例的一个可能的实现方式中,在103中,若所述文件夹的属性为不可见,识别所述可执行文件为文件夹病毒。具体地,可以判断是否存在文件名与可执行文件相同或相近似的文件夹,如果不存在文件名与可执行文件相同或相近似的文件夹,则可以结束操作,说明该可执行文件不是文件夹病毒。如果存在文件名与可执行文件相同或相近似的文件夹,则可以继续判断所述文件夹的属性。例如,可以对文件夹执行取属性操作,判断返回值是否包含FILE_ATTRIBUTE_DIRECTORY位,如果返回值不包含FILE_ATTRIBUTE_DIRECTORY位,则可以结束操作,说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_DIRECTORY位,说明为文件夹,则进一步判断返回值是否包含FILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位,如果返回值不包含FILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位,则可以结束操作,说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位,说明所述文件夹的属性为不可见,则可以识别所述可执行文件为文件夹病毒。进一步地,还可以执行病毒告警操作、病毒清除操作,等。病毒清除操作,可以为修改所述文件夹的属性为可见,并删除所识别出的文件夹病毒即所述可执行文件。
这样,采用本发明提供的技术方案,能够对被感染的文件夹病毒进行主动识别,能够有效提高病毒识别的效率,能够有效提高系统的安全性能。
由于文件夹病毒的复制行为是针对目录下所有文件夹的行为,因此,对于移动存储设备等存储设备来说,根目录下至少有两个文件夹,如果存储设备感染文件夹病毒,根目录下的文件夹均会被感染。可选地,在本实施例的一个可能的实现方式中,在103中,若所述文件夹的属性为不可见,则可以将累加器的值加1;然后,若所述累加器的值大于或等于预先设置的识别阈值,识别所述可执行文件为文件夹病毒。具体地,可以判断是否存在文件名与可执行文件相同或相近似的文件夹,如果不存在文件名与可执行文件相同或相近似的文件夹,则可以结束操作,说明该可执行文件不是文件夹病毒。如果存在文件名与可执行文件相同或相近似的文件夹,则可以继续判断所述文件夹的属性。例如,可以对文件夹执行取属性操作,判断返回值是否包含FILE_ATTRIBUTE_DIRECTORY位,如果返回值不包含FILE_ATTRIBUTE_DIRECTORY位,则可以结束操作,说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_DIRECTORY位,说明为文件夹,则进一步判断返回值是否包含FILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位,如果返回值不包含FILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位,则可以结束操作,说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位,说明所述文件夹的属性为不可见,则可以将累加器的值加1,例如,累加器的初始值可以设置为0。类似地,继续处理文件名与下一个可执行文件相同或相近似的文件夹,直到将所有的可执行文件都处理完毕为止。若所述累加器的值大于或等于预先设置的识别阈值,例如,识别阈值为2,则可以识别所述可执行文件为文件夹病毒。进一步地,还可以执行病毒告警操作、病毒清除操作,等。病毒清除操作,可以为修改所述文件夹的属性为可见,并删除所识别出的文件夹病毒即所述可执行文件。
这样,采用本发明提供的技术方案,能够对被感染的文件夹病毒进行主动识别,能够有效提高病毒识别的效率和可靠性,能够有效提高系统的安全性能。
可选地,在本实施例的一个可能的实现方式中,在103之后,还可以进一步根据所述识别的所述文件夹病毒,获得所述文件夹病毒的病毒特征信息。病毒特征信息的获得方法可以参见现有技术中的微特征计算方法,详细描述可以参见现有技术中的相关内容,此处不再赘述。然后,将所述病毒特征信息加入到病毒数据库中,以供利用所述病毒数据库,对扫描的文件进行特征匹配,若所述匹配成功,识别所述文件为文件夹病毒。
其中,所述特征信息可以包括动态特征和/或静态特征。动态特征可以理解为基于病毒行为作为病毒的判断依据,静态特征可以理解为基于病毒的特征码作为判断病毒的依据。
具体地,所述病毒特征库中存储了与病毒特征信息的相关信息,包括但不限于病毒长度信息、病毒特征信息、病毒特征信息的标识(ID),本发明对此不进行特别限定。
这样,采用本发明提供的技术方案,能够自动建立病毒数据库,无需操作人员逐一获取每个文件夹病毒,对每个文件夹病毒文件进行人工识别和特征提取,实时性好,且正确率高,能够有效提高病毒识别的效率和可靠性,从而进一步提高了系统的安全性能。
本实施例中,通过对指定目录下的文件进行扫描,以获得可执行文件的文件名,进而确定与所述可执行文件的文件名相同或相近似的文件名,使得能够根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,无需依赖文件夹病毒的病毒特征信息,操作简单,且不容易出错,从而提高了病毒识别的效率和可靠性。
另外,采用本发明提供的技术方案,能够对被感染的文件夹病毒进行主动识别,能够有效提高病毒识别的效率和可靠性,能够有效提高系统的安全性能。
另外,采用本发明提供的技术方案,能够自动建立病毒数据库,无需操作人员逐一获取每个文件夹病毒,对每个文件夹病毒文件进行人工识别和特征提取,实时性好,且正确率高,能够有效提高病毒识别的效率和可靠性,从而进一步提高了系统的安全性能。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
图2为本发明另一实施例提供的病毒的识别设备的结构示意图,如图2所示。本实施例的病毒的识别设备可以包括扫描单元21、确定单元22和识别单元23。其中,扫描单元21,用于对指定目录下的文件进行扫描,以获得可执行文件的文件名;确定单元22,用于确定与所述可执行文件的文件名相同或相近似的文件名;识别单元23,用于根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒。
可执行文件(executable file),是可移植可执行(PE)文件格式的文件,它可以加载到内存中,并由操作系统加载程序执行。可执行文件的扩展名可以包括但不限于.exe、.sys和.scr,等。
其中,病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或Rootkits/Bootkits。
需要说明的是,本实施例提供的病毒的识别设备可以是杀毒引擎,可以位于本地的客户端中,以进行离线操作来清除病毒,或者还可以位于网络侧的服务器中,以进行在线操作来清除病毒,本实施例对此不进行限定。
可以理解的是,所述客户端可以是安装在终端上的应用程序,或者还可以是浏览器的一个网页,只要能够实现病毒的清除,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
这样,通过扫描单元对指定目录下的文件进行扫描,以获得可执行文件的文件名,进而由确定单元确定与所述可执行文件的文件名相同或相近似的文件名,使得识别单元能够根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,无需依赖文件夹病毒的病毒特征信息,操作简单,且不容易出错,从而提高了病毒识别的效率和可靠性。
一般来说,文件的完整命名包括文件名和扩展名。可执行文件的扩展名可以包括但不限于.exe、.sys和.scr,等。文件夹则没有扩展名。所述扫描单元21所获得的可执行文件的文件名就是将扩展名截断之后,获得的。
一般来说,文件夹病毒会遍历移动存储设备的根目录下的文件夹,复制自身到移动存储设备的根目录下,更名为检测到的文件夹的文件名,修改该文件夹的属性为不可见,使用户在使用移动存储设备打开其文件夹时运行病毒,以达到复制的目的。但是,有些文件夹病毒,复制自身到移动存储设备的根目录下之后,不是直接更名为检测到的文件夹的文件名,而是在检测到的文件夹的文件名中增加一些不可见或较难发现的符号。因此,需要确定与所述可执行文件的文件名相同或相近似的文件名,才能准确识别出文件夹病毒可能复制的文件夹的文件名。
可选地,在本实施例的一个可能的实现方式中,所述确定单元22具体可以通过计算文件名的相近似度,以确定与所述可执行文件的文件名相同或相近似的文件名。例如,相似度大于或等于预先设置的阈值,所述确定单元22则可以确定两个文件名相同或相近似。具体地,所述确定单元22可以利用现有技术中的文本相近似度算法,计算文件名的相近似度,详细描述可以参见现有技术中的相关描述,此处不再赘述。
可选地,在本实施例的一个可能的实现方式中,所述扫描单元21,具体可以用于对根目录下的文件进行扫描,以获得可执行文件的文件名。具体地,所述扫描单元21可以对移动存储设备的根目录下的文件进行扫描,获得可执行文件的完整命名,进而删除可执行文件的扩展名,以获得可执行文件的文件名。
可选地,在本实施例的一个可能的实现方式中,所述识别单元23,具体可以用于若所述文件夹的属性为不可见,识别所述可执行文件为文件夹病毒。具体地,所述识别单元23可以判断是否存在文件名与可执行文件相同或相近似的文件夹,如果不存在文件名与可执行文件相同或相近似的文件夹,所述识别单元23则可以结束操作,说明该可执行文件不是文件夹病毒。如果存在文件名与可执行文件相同或相近似的文件夹,所述识别单元23则可以继续判断所述文件夹的属性。例如,所述识别单元23可以对文件夹执行取属性操作,判断返回值是否包含FILE_ATTRIBUTE_DIRECTORY位,如果返回值不包含FILE_ATTRIBUTE_DIRECTORY位,所述识别单元23则可以结束操作,说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_DIRECTORY位,说明为文件夹,所述识别单元23则进一步判断返回值是否包含FILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位,如果返回值不包含FILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位,所述识别单元23则可以结束操作,说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位,说明所述文件夹的属性为不可见,所述识别单元23则可以识别所述可执行文件为文件夹病毒。进一步地,所述识别单元23还可以执行病毒告警操作、病毒清除操作,等。病毒清除操作,可以为修改所述文件夹的属性为可见,并删除所识别出的文件夹病毒即所述可执行文件。
这样,采用本发明提供的技术方案,能够对被感染的文件夹病毒进行主动识别,能够有效提高病毒识别的效率,能够有效提高系统的安全性能。
由于文件夹病毒的复制行为是针对目录下所有文件夹的行为,因此,对于移动存储设备等存储设备来说,根目录下至少有两个文件夹,如果存储设备感染文件夹病毒,根目录下的文件夹均会被感染。可选地,在本实施例的一个可能的实现方式中,所述识别单元23,具体可以用于若所述文件夹的属性为不可见,将累加器的值加1;以及若所述累加器的值大于或等于预先设置的识别阈值,识别所述可执行文件为文件夹病毒。具体地,所述识别单元23可以判断是否存在文件名与可执行文件相同或相近似的文件夹,如果不存在文件名与可执行文件相同或相近似的文件夹,所述识别单元23则可以结束操作,说明该可执行文件不是文件夹病毒。如果存在文件名与可执行文件相同或相近似的文件夹,所述识别单元23则可以继续判断所述文件夹的属性。例如,所述识别单元23可以对文件夹执行取属性操作,判断返回值是否包含FILE_ATTRIBUTE_DIRECTORY位,如果返回值不包含FILE_ATTRIBUTE_DIRECTORY位,所述识别单元23则可以结束操作,说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_DIRECTORY位,说明为文件夹,所述识别单元23则进一步判断返回值是否包含FILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位,如果返回值不包含FILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位,所述识别单元23则可以结束操作,说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位,说明所述文件夹的属性为不可见,所述识别单元23则可以将累加器的值加1,例如,累加器的初始值可以设置为0。类似地,所述识别单元23继续处理文件名与下一个可执行文件相同或相近似的文件夹,直到将所有的可执行文件都处理完毕为止。若所述累加器的值大于或等于预先设置的识别阈值,例如,识别阈值为2,所述识别单元23则可以识别所述可执行文件为文件夹病毒。进一步地,所述识别单元23还可以执行病毒告警操作、病毒清除操作,等。病毒清除操作,可以为修改所述文件夹的属性为可见,并删除所识别出的文件夹病毒即所述可执行文件。
这样,采用本发明提供的技术方案,能够对被感染的文件夹病毒进行主动识别,能够有效提高病毒识别的效率和可靠性,能够有效提高系统的安全性能。
可选地,在本实施例的一个可能的实现方式中,如图3所示,本实施例提供的病毒的识别设备还可以进一步包括更新单元31,用于根据所述识别的所述文件夹病毒,获得所述文件夹病毒的病毒特征信息;以及将所述病毒特征信息加入到病毒数据库中,以供利用所述病毒数据库,对扫描的文件进行特征匹配,若所述匹配成功,识别所述文件为文件夹病毒。
其中,所述更新单元31获得病毒特征信息的方法可以参见现有技术中的微特征计算方法,详细描述可以参见现有技术中的相关内容,此处不再赘述。
其中,所述特征信息可以包括动态特征和/或静态特征。动态特征可以理解为基于病毒行为作为病毒的判断依据,静态特征可以理解为基于病毒的特征码作为判断病毒的依据。
具体地,所述病毒特征库中存储了与病毒特征信息的相关信息,包括但不限于病毒长度信息、病毒特征信息、病毒特征信息的标识(ID),本发明对此不进行特别限定。
这样,采用本发明提供的技术方案,能够自动建立病毒数据库,无需操作人员逐一获取每个文件夹病毒,对每个文件夹病毒文件进行人工识别和特征提取,实时性好,且正确率高,能够有效提高病毒识别的效率和可靠性,从而进一步提高了系统的安全性能。
本实施例中,通过扫描单元对指定目录下的文件进行扫描,以获得可执行文件的文件名,进而由确定单元确定与所述可执行文件的文件名相同或相近似的文件名,使得识别单元能够根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,无需依赖文件夹病毒的病毒特征信息,操作简单,且不容易出错,从而提高了病毒识别的效率和可靠性。
另外,采用本发明提供的技术方案,能够对被感染的文件夹病毒进行主动识别,能够有效提高病毒识别的效率和可靠性,能够有效提高系统的安全性能。
另外,采用本发明提供的技术方案,能够自动建立病毒数据库,无需操作人员逐一获取每个文件夹病毒,对每个文件夹病毒文件进行人工识别和特征提取,实时性好,且正确率高,能够有效提高病毒识别的效率和可靠性,从而进一步提高了系统的安全性能。
可以理解的是,本发明提供的技术方案,可以应用在存储设备中,尤其是移动存储设备中。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种病毒的识别方法,其特征在于,包括:
对指定目录下的文件进行扫描,以获得可执行文件的文件名;
确定与所述可执行文件的文件名相同或相近似的文件名;
根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒。
2.根据权利要求1所述的方法,其特征在于,所述对指定目录下的文件进行扫描,以获得可执行文件的文件名,包括:
对根目录下的文件进行扫描,以获得可执行文件的文件名。
3.根据权利要求1所述的方法,其特征在于,所述根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,包括:
若所述文件夹的属性为不可见,识别所述可执行文件为文件夹病毒。
4.根据权利要求1所述的方法,其特征在于,所述根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒,包括:
若所述文件夹的属性为不可见,将累加器的值加1;
若所述累加器的值大于或等于预先设置的识别阈值,识别所述可执行文件为文件夹病毒。
5.根据权利要求1~4任一权利要求所述的方法,其特征在于,所述根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒之后,还包括:
根据所述识别的所述文件夹病毒,获得所述文件夹病毒的病毒特征信息;
将所述病毒特征信息加入到病毒数据库中,以供利用所述病毒数据库,对扫描的文件进行特征匹配,若所述匹配成功,识别所述文件为文件夹病毒。
6.一种病毒的识别设备,其特征在于,包括:
扫描单元,用于对指定目录下的文件进行扫描,以获得可执行文件的文件名;
确定单元,用于确定与所述可执行文件的文件名相同或相近似的文件名;
识别单元,用于根据所述相同或相近似的文件名所对应的文件夹的属性,识别所述可执行文件为文件夹病毒。
7.根据权利要求6所述的设备,其特征在于,所述扫描单元,具体用于
对根目录下的文件进行扫描,以获得可执行文件的文件名。
8.根据权利要求6所述的设备,其特征在于,所述识别单元,具体用于
若所述文件夹的属性为不可见,识别所述可执行文件为文件夹病毒。
9.根据权利要求6所述的设备,其特征在于,所述识别单元,具体用于
若所述文件夹的属性为不可见,将累加器的值加1;以及
若所述累加器的值大于或等于预先设置的识别阈值,识别所述可执行文件为文件夹病毒。
10.根据权利要求6~9任一权利要求所述的设备,其特征在于,所述设备还包括更新单元,用于
根据所述识别的所述文件夹病毒,获得所述文件夹病毒的病毒特征信息;以及
将所述病毒特征信息加入到病毒数据库中,以供利用所述病毒数据库,对扫描的文件进行特征匹配,若所述匹配成功,识别所述文件为文件夹病毒。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310634308.7A CN103714269A (zh) | 2013-12-02 | 2013-12-02 | 病毒的识别方法及设备 |
EP14867640.6A EP3079091B1 (en) | 2013-12-02 | 2014-12-02 | Method and device for virus identification, nonvolatile storage medium, and device |
US15/033,862 US10229267B2 (en) | 2013-12-02 | 2014-12-02 | Method and device for virus identification, nonvolatile storage medium, and device |
PCT/CN2014/092759 WO2015081837A1 (zh) | 2013-12-02 | 2014-12-02 | 病毒的识别方法、设备、非易失性存储介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310634308.7A CN103714269A (zh) | 2013-12-02 | 2013-12-02 | 病毒的识别方法及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103714269A true CN103714269A (zh) | 2014-04-09 |
Family
ID=50407235
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310634308.7A Pending CN103714269A (zh) | 2013-12-02 | 2013-12-02 | 病毒的识别方法及设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10229267B2 (zh) |
EP (1) | EP3079091B1 (zh) |
CN (1) | CN103714269A (zh) |
WO (1) | WO2015081837A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015081837A1 (zh) * | 2013-12-02 | 2015-06-11 | 百度国际科技(深圳)有限公司 | 病毒的识别方法、设备、非易失性存储介质及设备 |
WO2015081836A1 (zh) * | 2013-12-02 | 2015-06-11 | 百度国际科技(深圳)有限公司 | 病毒的识别方法、设备、非易失性存储介质及设备 |
WO2021243716A1 (zh) * | 2020-06-05 | 2021-12-09 | 西门子股份公司 | 一种可疑软件检测方法、装置和计算机可读介质 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3662400A1 (en) * | 2017-07-31 | 2020-06-10 | Knowbe4, Inc. | Systems and methods for using attribute data for system protection and security awareness training |
US11609984B2 (en) * | 2018-02-14 | 2023-03-21 | Digital Guardian Llc | Systems and methods for determining a likelihood of an existence of malware on an executable |
CN117093994A (zh) * | 2023-09-18 | 2023-11-21 | 卫士通(广州)信息安全技术有限公司 | 一种疑似病毒文件分析方法、系统、设备及可存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101382984A (zh) * | 2007-09-05 | 2009-03-11 | 江启煜 | 一种扫描检测广义未知病毒的方法 |
CN102004879A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
CN102768717A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
CN102955912A (zh) * | 2011-08-23 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种程序恶意属性判别方法和服务器 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5440723A (en) * | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
GB2350449A (en) * | 1999-05-27 | 2000-11-29 | Ibm | Detecting replication of a computer virus using a counter virus |
US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
US8302193B1 (en) * | 2008-05-30 | 2012-10-30 | Symantec Corporation | Methods and systems for scanning files for malware |
US8140979B2 (en) * | 2008-08-15 | 2012-03-20 | International Business Machines Corporation | System and method for managing computer operations according to stored user preferences |
GB0822619D0 (en) * | 2008-12-11 | 2009-01-21 | Scansafe Ltd | Malware detection |
KR101089023B1 (ko) * | 2010-08-06 | 2011-12-01 | 삼성에스디에스 주식회사 | 스마트 카드, 및 이를 이용한 안티-바이러스 시스템 및 스캐닝 방법 |
KR101755646B1 (ko) * | 2011-03-24 | 2017-07-10 | 삼성전자주식회사 | 안티-바이러스 유닛을 포함하는 데이터 저장 장치 및 그것의 동작 방법 |
CN102609515B (zh) * | 2012-02-07 | 2013-10-16 | 北京奇虎科技有限公司 | 一种文件快速扫描方法和系统 |
WO2013117151A1 (zh) * | 2012-02-07 | 2013-08-15 | 北京奇虎科技有限公司 | 文件快速扫描方法和系统 |
US9129114B2 (en) * | 2012-12-03 | 2015-09-08 | Imation Corp. | Preboot environment with system security check |
CN103699838B (zh) * | 2013-12-02 | 2018-05-04 | 百度国际科技(深圳)有限公司 | 病毒的识别方法及设备 |
CN103714269A (zh) * | 2013-12-02 | 2014-04-09 | 百度国际科技(深圳)有限公司 | 病毒的识别方法及设备 |
-
2013
- 2013-12-02 CN CN201310634308.7A patent/CN103714269A/zh active Pending
-
2014
- 2014-12-02 WO PCT/CN2014/092759 patent/WO2015081837A1/zh active Application Filing
- 2014-12-02 US US15/033,862 patent/US10229267B2/en active Active
- 2014-12-02 EP EP14867640.6A patent/EP3079091B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101382984A (zh) * | 2007-09-05 | 2009-03-11 | 江启煜 | 一种扫描检测广义未知病毒的方法 |
CN102004879A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
CN102955912A (zh) * | 2011-08-23 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种程序恶意属性判别方法和服务器 |
CN102768717A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015081837A1 (zh) * | 2013-12-02 | 2015-06-11 | 百度国际科技(深圳)有限公司 | 病毒的识别方法、设备、非易失性存储介质及设备 |
WO2015081836A1 (zh) * | 2013-12-02 | 2015-06-11 | 百度国际科技(深圳)有限公司 | 病毒的识别方法、设备、非易失性存储介质及设备 |
US10229267B2 (en) | 2013-12-02 | 2019-03-12 | Baidu International Technology (Shenzhen) Co., Ltd. | Method and device for virus identification, nonvolatile storage medium, and device |
WO2021243716A1 (zh) * | 2020-06-05 | 2021-12-09 | 西门子股份公司 | 一种可疑软件检测方法、装置和计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
EP3079091B1 (en) | 2019-07-10 |
US20170004307A1 (en) | 2017-01-05 |
US10229267B2 (en) | 2019-03-12 |
EP3079091A1 (en) | 2016-10-12 |
EP3079091A4 (en) | 2017-04-26 |
WO2015081837A1 (zh) | 2015-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Crussell et al. | Andarwin: Scalable detection of semantically similar android applications | |
Garfinkel | Digital media triage with bulk data analysis and bulk_extractor | |
RU2634178C1 (ru) | Способ обнаружения вредоносных составных файлов | |
US8458186B2 (en) | Systems and methods for processing and managing object-related data for use by a plurality of applications | |
CN103714269A (zh) | 病毒的识别方法及设备 | |
Roussev | Hashing and data fingerprinting in digital forensics | |
US8769685B1 (en) | Systems and methods for using file paths to identify potentially malicious computer files | |
CN104217165B (zh) | 文件的处理方法及装置 | |
JP2019518298A (ja) | ウィルス検出技術ベンチマーキング | |
CN110489701A (zh) | 提取cms识别特征的方法、装置及cms识别方法 | |
WO2017084557A1 (zh) | 文件扫描方法及装置 | |
CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
CN103177022A (zh) | 一种恶意文件搜索方法及装置 | |
Hand et al. | Bin-Carver: Automatic recovery of binary executable files | |
US11042507B2 (en) | System and method of deletion of files and counteracting their restoration | |
Joseph et al. | Forensic corpus data reduction techniques for faster analysis by eliminating tedious files | |
CN103699838A (zh) | 病毒的识别方法及设备 | |
Coates et al. | Identifying document similarity using a fast estimation of the Levenshtein Distance based on compression and signatures | |
McKeown et al. | Fast forensic triage using centralised thumbnail caches on Windows operating systems | |
JP6404771B2 (ja) | ログ判定装置、ログ判定方法、およびログ判定プログラム | |
EP3674876B1 (en) | System and method of deletion of files and counteracting their restoration | |
Park et al. | An enhanced security framework for reliable Android operating system | |
Dam et al. | STAMAD: a static malware detector | |
Ruriawan et al. | Development of digital evidence collector and file classification system with K-Means algorithm | |
CN105631327A (zh) | 病毒查杀方法和系统、及客户端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent of invention or patent application | ||
CB03 | Change of inventor or designer information |
Inventor after: Guo Mingqiang Inventor after: Chen Gaohe Inventor after: Zhang Yongcheng Inventor before: Guo Mingqiang Inventor before: Chen Gaohe Inventor before: Zhang Yongcheng |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140409 |